ÍRISAI Começar piloto
Conformidade

LGPD e Dados de Saúde.

Documento técnico · Maio de 2026

Esta página detalha como a ÍRIS opera em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018) e com as orientações específicas para tratamento de dados pessoais sensíveis em contexto de saúde.

Compromisso fundamental

A ÍRIS é uma assistente administrativa, não clínica. Não tratamos dados de saúde no sentido sensível da LGPD: diagnósticos, sintomas, prescrições, exames. Quando esses tópicos surgem na conversa, a ÍRIS escala automaticamente para um humano da clínica.

1. Base legal do tratamento

Operamos sob duas bases legais principais:

  • Execução de contrato (Art. 7º, V) — para a clínica que nos contrata
  • Legítimo interesse (Art. 7º, IX) — para o paciente que envia mensagem ao número da clínica buscando agendamento

Para dados sensíveis (caso eventualmente coletados), exigimos consentimento específico (Art. 11, I).

2. Papéis no tratamento

  • Controlador: a clínica/médico contratante (define finalidades)
  • Operador: a ÍRIS (executa o tratamento conforme instruções da clínica)

O contrato de operação de dados (DPA) é anexado ao Termo de Uso na contratação.

3. Medidas técnicas e organizacionais

  • Servidores em território nacional (AWS sa-east-1, São Paulo)
  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
  • Row-Level Security (RLS) por clínica no banco de dados
  • Sanitização automática de CPF, RG e cartões antes do processamento por IA
  • Logs de auditoria de acesso aos dados
  • Política de senha forte e MFA para acessos administrativos
  • Backups diários com retenção de 30 dias

4. Sub-operadores

Para entregar o serviço, contamos com sub-operadores listados abaixo. Cada um foi auditado quanto à conformidade com LGPD:

  • Meta (WhatsApp Business API) — transporte das mensagens
  • 360dialog — parceiro oficial Meta no Brasil
  • Anthropic — modelo de linguagem (com cláusula contratual de não-treinamento)
  • Supabase — banco de dados (instância em São Paulo)
  • Cloudflare — proteção e CDN
  • Asaas — processamento de pagamento

Lista completa e atualizada disponível mediante solicitação ao DPO.

5. Direitos do titular

Tanto pacientes quanto profissionais da clínica podem exercer:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos ou inexatos
  • Anonimização, bloqueio ou eliminação
  • Portabilidade
  • Eliminação dos dados tratados com consentimento
  • Informação sobre compartilhamento
  • Revogação de consentimento

Solicitações: dpo@falacomairis.com.br · prazo de resposta: 15 dias.

6. Incidentes de segurança

Em caso de incidente que possa acarretar risco aos titulares, comunicamos a ANPD e os afetados em até 48 horas, conforme exige o Art. 48 da LGPD.

7. Encarregado (DPO)

Nome: a definir · Email: dpo@falacomairis.com.br

8. Auditoria e certificações

Em 2026, estamos preparando processo de certificação ISO 27001 e SOC 2 Type II. Documentação técnica disponível para clientes Plano Rede sob NDA.